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@ Bei einem mit einem EndgerSt und einer tragba- 
ren DatentrSgeranordnung gebildeten Informations- 
Ubertragungssystem findet eine Authentifizierung ei- 
nes Systemteils durch ein anderes Systemteil nach 
dem Challenge-and-Response-Prinzip statt. Die trag- 
bare Datentrageranordnung ist mit einem Wertespei- 
Cher und einer dieser zugeordneten Kontroileinrich- 
tung sowie einem nichtflUchtigen, begrenzbaren Feh- 
lerzahler gebildet. Bei dem Authentifizierungsverfah- 
ren ist zunachst in der tragbaren Datentrageranord- 
nung eine Sperre fOr das DurchfQhren von Rechen- 
operationen eingerichtet. die erst durch Verandern 
des FehlerzShlerstandes aufgehoben werden muB. 
Von dem Endgerat werden Zufallsdaten als Challen- 
ge-Daten zur tragbaren DatentrSgeranordnung Uber- 
tragen, nachdem der FehlerzShlerstand lnl<remental 
verSndert wurde und die Sperre aufgehoben worden 
Ist. Sowohl im EndgerSt als auch in der tragbaren 
Datentrageranordnung werden aus den Challenge- 
Daten mit Hilfe zumindest eines Algorithmus und 
geheimer SchlUsseldaten jeweils Authentifikationspa- 
rameter AP3, AP4 berechnet. Das EndgerSt Uber- 
trMgt seine Authentifilcationsparameter AP3 als Re- 
sponse zur tragbaren Datentrageranordnung wo sie 
mit den dort berechneten Authentifikationsparame- 
tern AP4 verglichen werden. Bei Ubereinstimmung 
der jeweiligen Authentifikationsparameter AP3, AP4 
wird der Wertespeicher wiederaufladbar und/oder 
der FehlerzShler rUcksetzbar. 
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Die Erfindung betrifft ein Verfahren zur Authen- 
tifizierung eines Systemteils durch ein anderes Sy- 
stemteil nach dem Challenge-and-Response-Prin- 
zip bel einem mit einem EndgerSt und einer trag- 
baren DatentrSgeranordnung gebildeten Informa- 
tionsUbertragungssystem.wobel die tragbare Daten- 
tragereinheit mit einem Wertespeicher und einer 
diesem zugeordneten Kontrolleinrichtung gebildet 
ist. 

Tragbare DatentrSgeranordnungen wie bei- 
spielsweise Telefonkarten sind mit einem Werte- 
speicher und einer diesem zugeordneten Kontroll- 
einrichtung gebildet. Der Wertespeicher ist als 
nichtflUchtlger Speicher, also beispieiswelse als 
EPROM Oder EEPROM, ausgefUhrt. Da solche Da- 
tentrSgeranordnungen einen Geldwert reprSsentle- 
ren, ist das Risiko gegeben, dafl Versuche unter- 
nommen werden, den Wertespeicher zu manipulle- 
ren bzw. solche DatentrSgeranordnungen beispiels- 
weise mittels eines Mikroprozessors zu simulieren. 
Zu diesem Zweck konnte der Datenverkehr zwi- 
schen einer solchen tragbaren Datentrageranord- 
nung und einem Endgerat abgehort werden und 
dann anhand des ermittelten Datenflusses die Da- 
tentrageranordnung simuliert werden. 

Um eine Simulation zu verhindern, sind Verfah- 
ren entwickelt worden. die nach dem sogenannten 
Challenge-and-Response-Prinzip arbeiten. Hierbei 
wird vom Endgerat eine Challenge beispielsweise 
eine Zufadszahl zu der tragbaren Datentrageranord- 
nung Ubermittelt. Anschliefiend werden sowohl in 
der tragbaren Datentrageranordnung als auch im 
Endgerat diese Zufallszahl mit einem geheimen 
Schlussel mittels eines Algorithmus verschlusselt. 
Daraufhin sendet die tragbare Datentragereinheit 
die verschlUsselte Zufallszahl an das Endgerat als 
Response zuruck. Im EndgerSt wird diese Respon- 
se mit der im Endgerat verschlUsselten Zufallszahl 
verglichen. Bei Obereinstimmung wird die tragbare 
Datentrageranordnung als echt erkannt und ein Da- 
tenaustausch kann stattfinden. Wenn keine Ober- 
einstimmung gegeben ist, findet kein Datenaus- 
tausch statt, so daB die tragbare Datentrageranord- 
nung nicht simuliert werden kann. 

Bekannte VerschlUsselungsalgorithmen sind 
nur dann ausreichend sicher. wenn die Rechenlei- 
stung In der tragbaren Datentrageranordnung und 
die WortlSnge der verschlOsselten Daten ausrei- 
chend groS sind. Fur Telefonkarten sind die be- 
kannten Algorithmen wIe beispielsweise der RSA- 
Algorlthmus viel zu aufwendig und damit zu teuer. 

Bei einer Telefonkarte werden bei jedem Ge- 
sprach eine bestimmte Anzahl der Im Wertespei- 
cher gespeicherten Werte gel5scht. Wenn alle 
Werte geloscht sind, wird die Karte normalerweise 
weggeworfen. Es besteht somit das BedOrfnis, den 
Wertespeicher wieder aufladbar zu gestalten. 



Es gibt heute Telefonkreditkarten. die einen 
weiteren Wertespeicher enthalten, in dem ein be- 
stimmter Kredit abgespeichert Ist. Ist nun der Wer- 
tespeicher entwertet, so kann er wieder aufgeladen 

6 werden, wenn gleichzeitig ein entsprechender Teil 
des Kredits im weiteren Wertespeicher geloscht 
wird. Dieser Wiederaufladevorgang des Wertespei- 
chers findet jedoch Innerhalb der Karte statt. 

Soli jedoch der Wiederaufladevorgang von au- 

10 Ben gesteuert werden, so mUssen entsprechende 
MaBnahmen getroffen werden, um eine miBbrauch- 
liche Wiederaufladung sicher unterbinden zu kon- 
nen. 

Die Aufgabe der vorliegenden Erfindung ist es 
75 somit, ein sicheres Verfahren zur Authentifizierung 
eines Systemteils durch ein anderes Systemteil 
nach dem Challenge-and-Response-Prlnzip bei ei- 
nem mit einem Endgerat und einer tragbaren Da- 
tentrageranordnung gebildeten InformationsGbertra- 
20 gungssystem, wobei die tragbare Datentragerein- 
heit mit einem Wertespeicher und einer dieser zu- 
geordneten Kontrolleinheit gebildet Ist. anzugeben, 
das mit geringem Aufwand durchfOhrbar ist. 

Die Aufgabe wird gelost durch ein Verfahren 
25 gemSB dem Anspruch 1. Vortellhafte Weiterbildun- 
gen der Erfindung sind in den Unteranspruchen 
angegeben. 

In erfindungsgemaBer Weise ist die tragbare 
Datentrageranordnung auBer mit einem Wertespei- 
30 Cher und einer diesem zugeordneten Kontrollein- 
richtung auch mit einem begrenzbaren Fehlerzah- 
ler gebildet, dessen Zahlerstand schreib- und 
loschbar nichtflQchtig in EEPROM-Speicherzellen 
abgelegt ist. 

35 Vor jedem Authentifizierungsvorgang wird der 
Fehlerzahlerstand inkremental durch einen Pro- 
grammiervorgang verandert, wobei es durch die 
Begrenzung der Anzahl der Authentlfizierungsvor- 
gange nicht moglich ist, den Algorithmus Oder den 

40 geheimen SchlGssel, mit denen die Authentifika- 
tionsparameter aus den Challenge-Daten berechnet 
werden, zu ermitleln. Aufierdem wird vor jedem 
Authentifizierungsvorgang eine Sperre in der trag- 
baren Datentrageranordnung eingerichtet, die nur 

45 durch eine Veranderung des Fehlerzahlerstands 
aufgehoben werden kann. Auf diese Weise wird 
sichergesteitt, daB jeder Authentifizierungsvorgang 
gezShIt wird. Die Sperre kann beispielsweise ein 
logischer Zustand in einer bestimmten Speicherzel- 

50 le sein. 

Ein Wiederaufladen des Wertespeicher in der 
tragbaren Datentrageranordnung ist auf erfindungs- 
gemaBe Weise nur moglich, wenn sich das Endge- 
rSt durch denselben geheimen SchlGssel und den- 

55 selben Algorithmus mit denen die Authentiflkations- 
parameter aus den Challenge-Daten berechnet 
worden sind» authentifiziert hat. 
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Es ist vorteilhaft, wenn bei der Berechnung der 
Authentifikationsparameter neben den Challenge- 
Daten und dem geheimen Schlussel weitere Daten 
einbezogen werden. Die Abhangigkeit der Respon- 
se auch vom Stand des Fehlerzahlers. vom jeweili- 
gen Inhalt des wieder aufzuladenden Speichers 
Oder von Identifikationsdaten des tragbaren Daten- 
tragers erschwert die miBbrSuchliche Analyse des 
gesamten Wiederaufladevorgangs zusatzlich. 

In vorteilhafter Weiterbildung der Erfindung 
wird vor Oder mit den^ Wiederaufladen des Werte- 
speichers der FehlerzShler rUckgesetzt. 

Eine ho here Sicherheit wird errelcht, wenn im 
Falle, dafi der Fehlerzahler vor dem Wiederaufla- 
den des Wertespeichers rOckgesetzt wurde. aus 
den Challenge-Daten mittels eines zweiten Algorith- 
mus, welterer geheimer SchlQsseldaten und/oder 
weiterer sonstiger Daten des tragbaren DatentrS- 
gers weitere Authentifikationsparameter ermittelt 
und mitelnander verglichen werden. 

In weiterer Ausbildung der Erfindung kann auch 
vorgesehen werden. daB sich vor einer Authentifi- 
zierung des Endgerats gegentiber der tragbaren 
Datentrageranordnung, diese sich gegenuber dem 
EndgerSt mittels desselben Vorgangs authentifizie- 
ren muB. Zu diesem Zweck ubertrSgt die tragbare 
Datentrggeranordnung die ermittelten Authentifika- 
tionsparameter als Response zu dem Endgerat, wo 
sie dann mit den dort ermittelten Authentifikations- 
parameter verglichen werden. Erst nach Oberein- 
stlmmung der jewelligen Authentifikationsparameter 
wird die Authentifizierung des Endgerats bezuglich 
der Berechtigung fur das Rucksetzen des Fehler- 
zahlers und/oder des Wiederaufladens des Werte- 
speichers durchgefOhrt. Falls sich die tragbare Da- 
tentrageranordnung nicht authentifizieren kann, 
wird der Vorgang sofort abgebrochen. 

Es ist hinsichtlich der Sicherheit des Authentifi- 
zierungsvorgangs vorteilhaft, wenn mit jedem ein- 
zelnen Authentifizierungsvorgang neue Challenge- 
Daten von dem Endgerat zur tragbaren Datentrage- 
ranordnung Ubermittelt werden. Eine weitere Erh5- 
hung der Sicherheit wird erreicht, wenn bei jedem 
Authentifizierungsvorgang ein neuer geheimer 
Schlussel und/oder ein neuer Algorithmus verwen- 
det werden. 

Damit Im Endgerat nicht eine Vielzahl von ge* 
heimen SchlOsseln abgespeichert sein mOssen. 
werden die in der jewelligen tragbaren Datentrage- 
ranordnung gespeicherten geheimen SchlUsselda- 
ten verschlUsselt als Identifikationsdaten vom End- 
gergt aus der tragbaren DatentrMgeranordnung ge- 
lesen und im Endgerat mittels eines weiteren ge- 
heimen SchlUssel entschlUsselt, so daB dann so- 
wohl in der jeweiligen tragbaren Datentrageranord- 
nung als auch im EndgerSt derselbe geheime 
SchlUssel vorliegt. 



Die Erfindung wird nachfolgend anhand eines 
AusfOhrungsbeisplels mittels einer Figur nSher er- 
ISutert. Es zelgt dabei die 

Figur ein Ablaufdiagramm eines erfindungsge- 

5 maBen Verfahrens. 

Der Ablauf in der tragbaren Datentrageranord- 
nung ist in der linken HSIfte und der Ablauf im 
EndgerSt in der rechten HSIfte der Figur darge- 
stellt. In einem ersten Schritt werden einerseits die 

10 Sperre eingerichtet, was beispielsweise durch ein 
Reset-Signal fur den in der tragbaren Datentrage- 
ranordnung enthaltenen Halbleiterchip erfolgen 
kann, und andererseits werden die Kartenidentifika- 
tionsdaten CID vom EndgerSt aus der tragbaren 

76 Datentrageranordnung gelesen. Diese werden dann 
mittels eines weiteren geheimen SchlGssels KEY 
und eines dazugeh5renden Algorithmus f zu einem 
geheimen Schlussel KEV entschlusselt. Dieser ge- 
heime SchlOssel KEY', ist auch in der tragbaren 

20 Datentrageranordnung enthalten. 

In einem zweiten Schritt wird der Fehlerzahler 
FZ in der tragbaren Datentrageranordnung Inkre- 
mental erhoht Oder erniedrigt. Durch die Anzahl der 
moglichen Zahlschritte ist die maximale Anzahl der 

25 Authentifikationsvorgange beschrSnkt. so daB das 
Ermittein des geheimen Schltissels KEY' durch vie- 
le Versuche nicht mSglich ist. Durch das VerSn- 
dern des Fehlerzahlerstands wird die Sperre aufge- 
hoben. so daB in der tragbaren DatentrSigeranord- 

30 nung die DurchfOhrung von Operatlonen mSglich 
wird. 

In einem dritten Schritt wird zunachst eine er- 
ste Zufallszahl RANDOM 1 als Challenge vom End- 
gerat zur tragbaren Datentrageranordnung ubermit- 

35 telt. Dann werden In der tragbaren Datentrageran- 
ordnung diese Challenge mittels des geheimen 
SchlOssels KEY", und eines Algorithmus f , zu Au- 
thentifikatlonsparametern AP1 verarbeitet, und als 
Response-Daten zum Endgerat ubermittelt. Dort 

40 werden sie mit ebenfalls aus der Zufallszahl RAN- 
DOM 1, dem geheimen Schlussel KEY' und dem 
Algorithmus f ermittelten Authentifikationsparame- 
tern AP2 verglichen. Bei Ubereinstirnung wird die 
tragbare Datentrageranordnung als gUltig erkannt 

45 und der Authentifikationsvorgang wird fortgesetzt. 
Ist keine Obereinstimmung gegeben. so muB der 
Vorgang von vorne begonnen werden, soweit der 
Fehlerzahler FZ dies zulaBt. 

Bei Oberstimmung wird in einem vierten Schritt 

50 eine weitere Zufallszahl RANDOM 2 als weitere 
Challenge vom Endgerat an die tragbare Datentra- 
geranordnung Ubermittelt. Diese wird wiederum 
mittels des geheimen SchlOssels KEY* und des 
Algorithmus f, sowohl In der tragbaren DatentrSge- 

55 ranordnung zu Authentifikationsparametern AP4 als 
auch im Endgerat zu Authentifikationsparametern 
AP3 verarbeitet. Die Authentifikationsparameter 
AP3 des Endgerats werden dann als Response zur 
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tragbaren DatentrSgeranordnung Ubermitteit. wo sie 
mit den dortigen Authentifikationsparametern AP4 
verglichen werden. Bel Obereinstimmung hat sich 
das Endgerat gegenUber der tragbaren Datentrage- 
ranordnung als berechtlgt authentlflziert, sowohl 
den FehlerzShler FZ rUcksetzen zu dUrfen als auch 
den Wertespeicher wieder auf laden zu dtlrfen. 

Es wSre auch moglich und wurde zu noch 
groBerer Sicherheit fuhren, wenn vor denr^ Wieder- 
aufladen des Wertespeichers ein weiterer Authenti- 
fizierungsvorgang mit einem welteren Algorithmus 
stattfinden wurde. Es kSnnte dazu auch eine ande- 
re Zufallszahl erzeugt und als Challenge zur trag- 
baren Datentrageranordnung Gbermittelt werden. 

Durch das erfindungsgemaBe Verfahren ist ein 
hohes MaB an Sicherheit bezUglich des Schutzes 
vor Manipulation gegeben, da sich sowohl die trag- 
bare Datentrageranordnung als auch das Endgerat 
jeweils gegenOber dem anderen Systemteil authen- 
tifizieren mUssen und ein Ermittein der verwende- 
ten Algorithmen und geheimen SchlQssel durch 
mehrfaches Probieren nicht moglich ist, da einer- 
seits nur eine durch den Fehlerzahler FZ begrenzte 
Anzahl von Versuchen eriaubt ist, und andererseits 
innerhalb dieser Anzahl von Versuchen ein RUck- 
rechnen mittels der Challenge- und der Response- 
Daten nicht mdglich ist. 

PatentansprUche 

1. Verfahren zur Authentifizierung eines System- 
teils durch ein anderes Systemteil nach dem 
Challenge-and-Response-Prinzip bei einem mit 
einem Endgerat und einer tragbaren Datentra- 
geranordnung gebildeten InformationsQbertra- 
gungssystem, wobei die tragbare Datentrage- 
ranordnung mit einem Wertespeicher und einer 
diesem zugeordneten Kontrolleinrichtung, ei- 
nem begrenzbaren. nIchtflOchtigen Fehlerzah- 
ler (FZ) sowie einer Sperrvorrichtung gebildet 
ist. mit folgenden Schritten: 

- in der tragbaren DatentrMgeranordnung 
wird eine Sperre fur das Durchfuhren von 
Rechenoperationen eingerichtet, die nur 
durch Verandern des FehlerzShlerstan- 
des aufgehoben werden kann, 

- der FehlerzShlerstand wird durch einen 
Programmiervorgang verSndert, wodurch 
die Sperre aufgehoben wird, 

■ von dem Endgerat werden Zufallsdaten 
(RANDOM 1; RANDOM 2) als Challenge 
zur tragbaren Datentrageranordnung 
Ubertragen, 

- sowohl im EndgerSt als auch in der trag- 
baren Datentrageranordnung werden aus 
der Challenge (RANDOM 1; RANDOM 
2) mit Hilfe zumlndest eines ersten Algo- 
rithmus (f) sowie geheimer SchlUsselda- 



ten (KEY*) jeweils Authentifikationspara- 
meter (AP3, AP4) berechnet 

- das EndgerSt Ubertragt seine Authentifi- 
kationsparameter (AP3) als Response zur 

5 tragbaren Datentrageranordnung, wo sie 

mit den dort berechneten Authentifika- 
tionsparametern (AP4) verglichen wer- 
den, 

- bei Obereinstimmung der jeweiligen Au- 
10 thentifikationsparameter (AP3. AP4) wird 

die Spenrvorrichtung deaktiviert, so daB 
der Wertespeicher von dem EndgerMt 
wieder aufladbar ist. 

75 2. Verfahren nach Anspruch 1. dadurch gekenn- 
zeichnet, 

daB der Wertespeichers von dem EndgerSt 
wiederaufgeladen wird. 

20 3. Verfahren nach Anspruch 1. dadurch gekenn- 
zeichnet 

daB gleichzeitig mit dem Wiederaufladen des 
Wertespeichers der FehlerzShler (FZ) rUckge- 
setzt wird. 

25 

4. Verfahren nach Anspruch 1, dadurch gekenn- 
zelchnet, 

daB vor dem Wiederaufladen des Wertespei- 
chers der FehlerzShler (FZ) rUckgesetzt wird. 

30 

5. Verfahren nach Anspruch 3. dadurch gekenn- 
zeichnet, 

- daB nach dem RUcksetzen des Fehler- 
zahlers (FZ) sowohl im Endgerat als 

35 auch in der tragbaren Datentrageranord- 

nung aus der Challenge (RANDOM 1; 
RANDOM 2) mit Hitfe zumlndest eines 
zweiten Algorithmus sowie der geheimen 
SchlUsseldaten (KEY') jeweils weitere 

40 Authentifikationsparameter berechnet 

werden, 

- daB das EndgerMt seine weiteren Authen- 
tifikationsparameter als Response zur 
tragbaren Datentrageranordnung Uber- 

45 trSgt, wo sie mit den dort berechneten 

welteren Authentifikationsparametern ver- 
glichen werden, und 

- daB erst bei Obereinstimmung der jewei- 
ligen weiteren Authentifikationsparameter 

50 der Wertespeicher von dem EndgerSt 

wieder aufgeladen wird. 

6. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzelchnet, 

55 daB gleichzeitig mit dem Wiederaufladen des 

Wertespeichers ein weiterer Wertespeicher 
entsprechend dem vorherigen Wertestand des 
Wertespeichers umgeladen wird. 
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7. Verfahren nach einem der vorhergehenden An- 
sprQche, dadurch gekennzelchnet, 

- da0 vor der Obertragung der Authentifika- 
tionsparameter (AP3) des Endgerats zur 
tragbaren DatentrSgeranordnung die s 
tragbare DatentrSgeranordnung ihre Au- 
thentifikationsparameter (AP1) als Re- 
sponse zum EndgerSt Obertragt, wo sie 

mit den dort berechneten Authentifika- 
tionsparametern (AP2) verglichen wer- io 
den. und 

- da8 erst nach einem positiven Ver- 
gleichsergebnis weitere Operationen 
mSglich sind. 

8. Verfahren nach einem der vorhergehenden An- 
sprCiche, dadurch gekennzelchnet, 

da6 vor jeder Berechnung von Authentifika- 
tionsparametern (AP1. AP2, AP3, AP4) neue 
Zufalisdaten (RANDOM 1; RANDOM 2) als je- 20 
weils neue Challenge vom Endgerat zur trag- 
baren Datentrageranordnung ubertragen wer- 
den. 

9. Verfahren nach einem der vorhergehenden An- 25 
spruche, dadurch gekennzelchnet, 

dal3 fOr jeden Authentifikationsvorgang neue 
geheime SchlUsseldaten verwendet werden. 

10- Verfahren nach einem der vorhergehenden An- 30 
sprUche, dadurch gekennzelchnet 
da6 fUr jeden Authentifikationsvorgang ein neu- 
er Algorithmus venwendet wird. 

11. Verfahren nach einem der vorhergehenden An- 35 
sprUche. dadurch gekennzelchnet, 
daS das EndgerSt Identlfikatlonsdaten (CID) 
aus der tragbaren Datentrageranordnung liest 
und daraus den Oder die geheimen Schiussei 
(KEY') berechnet, der Oder die auch in der 40 
tragbaren Datentrageranordnung zur Verfu- 
gung steht Oder stehen. 
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